Wie eine Krisenstabsübung entsteht

Übungen der Krisenstäbe zählen zu den wichtigsten Maßnahmen der Notfall- und Krisenprävention. Notfallpläne sind wichtig, sie können allerdings nicht alle möglichen Szenarien und Szenariokombinationen abdecken. Statt umfangreicher Notfallpläne – die im Notfall nicht gelesen werden – präferiere ich die Kombination von Notfallkonzepten und Notfallchecklisten. Das Krisenmanagement baut auf dieser präventiven Planung des BCM auf und setzt diese entsprechend der Lage um. Weiterlesen…

Spiegel online erläutert die technischen Hintergründe für den Ausfall am Samstag

Spannungsschwankungen im Netz, womöglich verursacht durch den Test von Netzersatzanlagen, waren die Ursache für die massiven Ausfälle in dem Rechenzentrum in Gütersloh. Die Server liefen, doch waren Geräte für die Netzanbindung durch die Spannungsschwankungen ausgefallen und mussten ersetzt werden. Leider war auch das Mobilfunknetz O2 betroffen, so dass die Mitarbeiter vor Ort kaum mehr kommunizieren konnten. So war der Test sicherlich nicht gedacht.

Auch die Telekom hat in der Vergangenheit bei einem großen Netzausfall die Erfahrung machen müssen, dass es nicht gut ist, wenn die Techniker nur im eigenen Netz telefonieren können. Seitdem sind die Techniker der Telekom redundant ausgestattet.

Hier die Erläuterungen von Spiegel online zum Ausfall. Schön, dass sich die Redaktion so umfangreich zu dem Ausfall äußert.

Nicht “ob”, sondern “wann” ist die Frage

Schaut man sich die Liste der erfolgreichen Hacks der jüngsten Vergangenheit an, wird schnell klar, dass es jedes Unternehmen irgendwann treffen kann. Eine hundertprozentige Sicherheit kann kein Unternehmen auch nicht mit immensem personellem und finanziellem Aufwand sicherstellen. Der normale Geschäftsbetrieb muss ja noch gewährleistet bleiben und die Unternehmen werden weiter Menschen beschäftigen, die das schwächste Glied in der Abwehrkette darstellen. Wie schnell ist auf einen Link in einer Mail geklickt …

Auf der anderen Seite ist der Business Case für Cyber-Kriminelle hochattraktiv. Mit der Verschlüsselungssoftware Cryptowall Ransomware hat eine Hackergruppe alleine in diesem Jahr rund 325 Millionen US-Dollar an Erpressungsgeldern eingenommen, das sind nahezu eine Million US-Dollar täglich. Neben der Erpressung des Unternehmens winken mit dem Verkauf der erbeuteten Daten weitere lukrative Einnahmen. Für einen Kreditkartendatensatz aus der EU sind dies immerhin 25 bis 45 US Dollar, wie McAfee Labs in seiner Analyse “The Hidden Data Economy” ermittelte. Wenn das kein attraktives Geschäftsmodell ist! Wir müssen daher davon ausgehen, dass dieses Geschäftsmodell der Cyber-Erpressung weiter wachsen wird, denn auch Cyber-Kriminelle denken und handeln streng ökonomisch. Betroffen von diesem “Geschäftsmodell” sind gerade auch kleine und mittelständische Unternehmen.  Die eingeforderten Beträge sind für die Betroffenen verkraftbar kalkuliert und so ist es auch für viele Unternehmen betriebswirtschaftlich sinnvoller der Erpressung nachzugeben und das Geld zu bezahlen. Das ökonomische Kalkül der Erpresser geht also auf. Sogar das FBI kapituliert vor diesen Methoden und empfiehlt, das Lösegeld an die Erpresser zu bezahlen.

Das objektive Risiko Opfer einer solchen Cyber-Erpressung zu werden ist hoch. Nicht “ob” ist die Frage, sondern “wann”. Doch was können Unternehmen tun, um auf den “Tag X” vorbereitet zu sein. Sich auf die IT-Security zu verlassen ist zu wenig. Die Kollegen machen einen tollen Job, doch einen Rundum-Schutz für ein sorgloses Leben und Arbeiten können sie nicht gewähren. Im Zweifel sind die kriminellen besser ausgestattet und technisch überlegen.

Daher müssen die Verteidigungslinien im Unternehmen mehrfach gestaffelt werden:

  • 1. Verteidigungslinie: Awareness bei den Mitarbeitern
  • 2. Verteidigungslinie: Technische Maßnahmen durch die IT-Security
  • 3. Verteidigungslinie: Business Continuity Pläne für diese Szenarien (Bsp. Nicht-Verfügbarkeit kritischer Daten und Anwendungen)
  • 4. Verteidigungslinie: IT Service Continuity Management für die Wiederherstellung kritischer Daten und Systeme
  • 5. Verteidigungslinie: Krisenmanagement für die planvolle Steuerung durch die Krise.

Dies zeigt, Cyber-Kriminalität mit seinen potentiellen Auswirkungen auf kritische Geschäftsprozesse ist nicht nur ein Thema der IT-Security. Mitarbeiter, IT-Security, BCM, ITSCM und Krisenmanagement müssen “Hand in Hand” funktionieren, um ein solches herausforderndes Szenario bewältigen zu können.

Die Angriffe sind mittlerweile so ausgeklügelt, dass eine Verteidigungslinie bei weitem nicht ausreichend ist. So sind Mails mit Links zu Malware mittlerweile täuschend echt gebaut. Die Adressaten der Mails werden namentlich angesprochen und der Inhalt der Mails passt perfekt in den Arbeitskontext der Adressaten. Die technischen Möglichkeiten der Cyber-Kriminellen sind durch den Business Case nahezu unerschöpflich. Damit im Fall der Fälle das Business weiter läuft benötigt es die Verteidigungslinien BCM, ITSCM und Krisenmanagement. Allerdings sind gerade für diese Szenarien Pläne nicht ausreichend. Gerade hier gilt üben, üben, üben. Denn die Bedrohungsszenarien ändern sich laufend genauso wie sich elektronische Vertriebskanäle und schützenswerte Daten ändern. Wofür die IT-Security Penetrations-Tests einsetzt, nutzen BCM, ITSCM und Krisenmanagement Tests und Übungen. Schnelles und richtiges Handeln in diesen Bedrohungsszenarien muss ständig geübt werden, so wie Piloten im Simulator regelmäßig die Notfallverfahren üben bis sie tief im Gehirn verankert sind und im Notfall automatisiert abgespult werden können.

be prepared

Ihr Matthias Hämmerle

BCM-Übungen und die Peanuts

BCM-Übungen werden gut vorbereitet. Es wird ein Drehbuch erstellt, Notfalldokumentationen zuvor noch einmal aktualisiert und versucht Unwägbarkeiten so gut es geht auszuschließen bis hin zum passenden Wetter. Die Übung soll ja schließlich reibungslos verlaufen und alle Beteiligten nach der Übung zufrieden sein. Das Management soll für die Investitionen in die Übung mit einem Erfolg belohnt werden. Je mehr Investitionen in eine “glänzende Übung” gesteckt werden, umso größer wird jedoch auch die Übungskünstlichkeit. Und irgendwann wird die Übung zur Farce. Die Realität im Notfall ist ungeschönt. Eine geschönte Übung bereitet keineswegs auf die hässliche Realität vor. Es ist daher wichtig zu akzeptieren, dass Dinge in der Übung misslingen. Oft sind es Kleinigkeiten – die Peanuts – die im realen Notfall den Notbetrieb erschweren. Ungepatchte Netzwerkdosen, fehlende Verlängerungskabel und Mehrfachsteckdosen, leere Batterien, vergessene Ladekabel für das Smartphone – legendäre Klassiker für Hänger in der Übung. Ich habe immer einen ganzen Koffer an Adaptern und Ladekabeln dabei. Der wird aber erst ausgepackt, wenn verzweifelt begonnen wird, dieses Cent-Teil irgendwo aufzutreiben oder einem Kollegen zu “entleihen”. Scheitern ist Teil einer Übung und jeder identifizierte Optimierungspunkt sollte ein Erfolgserlebnis sein. Schlimm werden in der Realität die Optimierungspunkte, die unentdeckt bleiben. Diese Fehlerkultur widerspricht uns eigentlich im Herzen. Daher ist die Einübung dieses Verständnisses auch ein elementarer Teil jeder Übung. Die Übungsleitung sollte dies vor, während und nach der Übung immer im Auge behalten und die Teilnehmer für jeden gefundenen Fehler loben. Natürlich soll kein Fehlschlag einer kompletten Übung damit provoziert werden – auch wenn dies vorkommen kann. Die Kunst ist, die Balance zwischen Übungskünstlichkeit und Realitätsnähe zu bewahren, wobei mit zunehmendem Reifegrad die Übungskünstlichkeit immer wieder weiter zurückgefahren werden sollte. Aus der angekündigten Übung wird die unangekündigte Übung. Die Zahl der internen und externen Parteien nimmt zu wie auch die Dauer der Übung. Bis zur Übung des Schichtwechsels zwischen Krisenstabsbesetzungen und Unterstützungsteams. Notfälle halten sich nicht an Tages- und Arbeitszeiten.

Ich wünsche Ihnen viele identifizierte Optimierungspotentiale in Ihren Übungen!

… und machen Sie was daraus.

Der Erpresserbrief ist geschrieben

keine Sorge, nur für die anstehende Krisenstabsübung. Mit dem Szenario einer Erpressung sollte sich jedes Unternehmen einmal auseinandersetzen. Suchen Sie im Internet doch einfach einmal nach dem Stichwort “DD4BC” oder schauen Sie sich diese Risikoanalyse an. Betroffen sind bei weitem nicht nur bekannte Großunternehmen. Insbesondere sind auch kleine und mittelständische Unternehmen betroffen. Die Beträge sind relativ klein und viele Unternehmen werden die Publicity und den Gang zur Polizei scheuen und den geforderten Betrag zähneknirschend bezahlen, in der Hoffnung dann Ruhe zu haben. In dieser Situation ist die Zeit knapp und schnelles zielgerichtetes Handeln gefragt. Ohne Vorbereitung und Übung passieren schwerwiegende Fehler. In einer Checkliste sollten die wichtigsten Schritte festgehalten werden und ein Beratungsgespräch bei der Polizei hilft den richtigen Kontakt im entscheidenden Moment zu finden.

Personalausfall – der schlafende Riese

BCM-Szenarien wie IT-Ausfall, Gebäude- und / oder Arbeitsplatzausfall sind in der Notfallvorsorge mittlerweile selbstverständlich. Das Szenario “Personalausfall” gehört in der Theorie gleichwertig mit zu den elementaren Risikoszenarien wie auch der Ausfall kritischer Dienstleistungen / Dienstleister. In der Praxis kommt das Szenario Personalausfall in allen Phasen des BCM-Lebenszyklus leider oftmals zu kurz. Und das, obwohl uns auch die praktische Realität zum Beispiel in Form zahlreicher streikbedingter Personalausfälle bei Bahn, Kitas und Geldtransporteuren die Notwendigkeit einer angemessenen Vorsorge für Personalausfälle aufzeigt. SARS, Vogelgrippe, EHEC/HUS und jetzt aktuell MERS finden vermeintlich im fernen Asien statt. Norovirus, auch “Kreuzfahrer-Virus”,  trifft vermeintlich nur Kreuzfahrer – aktuell gibt es eine Lebensmittelwarnung wegen Noroviren in gefrorenen Erdbeeren bei Aldi Nord. Masern-Epidemien betreffen nicht nur die Kinder, wenn Heerscharen von Elternteilen für die Pflege zu Hause bleiben müssen. Doch wenn das Szenario “Personalausfall” zuschlägt ist jede Vorbereitung Gold wert. Hinzu kommt dass das Szenario Personalausfall BCM und Krisenmanagement gerne über Tage, Wochen oder gar Monate auf Trab hält. Eine zweistündige Krisenstabsübung lässt die Anforderungen an ein solches Szenario nur erahnen. Alleine, wenn der Krisenstab in den Drei-Schichtbetrieb gehen soll … Weiterlesen…

Wenn die kritische Ressource “Personal” ausfällt

Dieser Artikel ist im aktuellen BCM-Sonderheft des Sicherheits-Berater erstmalig erschienen.

Im Business Continuity Management (BCM) gibt es vier grundsätzliche BCM-Szenarien, für die im Rahmen der Notfallplanung Vorsorge getroffen wird. Neben dem Ausfall der IT und Telekommunikation, Gebäude sowie Dienstleister ist ein wesentliches BCM-Szenario der Ausfall von Personal zur Durchführung der kritischen Geschäftsprozesse. Das BCM geht in der Planung von der Wirkungsseite aus, da nicht für jede der vielen möglichen Ursachen ein Notfallplan erstellt werden kann. Die Ursachen, die zu einem Personalausfall führen können, sind sehr vielfältig. Sie reichen von einer Erkrankung einer hohen Anzahl an Mitarbeitern (Beispiele hierfür sind Grippe-Epidemien oder Norovirus-Infektionen), der Ausfall von „Kopf-Monopolen“, Streiks der Mitarbeiter bis hin zu Verkehrsbehinderungen der Arbeitswege (zum Beispiel die mehrtägigen europaweiten Flugausfälle durch den Ausbruch des isländischen Vulkans Eyjafjallajökull im April 2010). Weiterlesen…

Anforderungen an die Bewertung von Tests und Übungen

Ein Gastbeitrag für die BCM-News von Torsten Zacher

Einleitung

Gemäß der MaRisk AT 7.3 ist die Wirksamkeit und der Angemessenheit des Notfallkonzeptes regelmäßig durch Notfalltests zu überprüfen.

Die zwei Begriffe Angemessenheit und Wirksamkeit spielen hierbei in Verbindung mit den Tests eine entscheidende Rolle.

Das KWG ergänzt im § 25c hierbei noch, dass den jeweils Verantwortlichen über die Ergebnisse der Notfalltest berichtet wird.

Die Begriffe Angemessenheit und Wirksamkeit bilden die Grundlage der Bewertung, die im ersten Teil des Artikels vorgestellt werden. Im zweiten Teil wird auf die Notwendigkeit einer Bewertung, deren Zielgruppen und den positiven Nutzen eingegangen. Im dritten Teil wird eine mögliche Bewertung inklusive Inhalten vorgestellt. Es sind Bewertungen je Test und eine Jahresbewertung zu differenzieren. Weiterlesen…

Dank Simulation – mit Vorteil in einem fiktiven Unternehmen in einer ganz fremden Branche – souverän (re)agieren im Ausnahmezustand

Was haben Holz, Notfall- und Krisenmanagement gemeinsam?

Sie stehen für die Premiere einer erfolgreichen Kooperation von Experten für Krisenstabstraining mit denen für softwaregestützte IT-Notfallplanung. Davon profitierten jetzt die Teilnehmer des gemeinsamen Krisenstabseminars.

Sitzungszimmer eines fiktiven Sägewerks: Krisenstimmung. In den kommenden Stunden wird es die Aufgabe der verantwortlichen Teilnehmer sein, die angeschlagene Firma so zu lenken, dass der Schaden möglichst gering gehalten werden kann: Nicht betroffene Unternehmensteile sollen trotz Ereignis einwandfrei produzieren und liefern können sowie die vom Ereignis nicht betroffenen Kunden möglichst wenig Beeinträchtigung erfahren. Außerdem muss die Produktion auch im vom Ereignis betroffenen Prozess bald wieder aufgenommen werden.

 Simulation schult adäquates Reagieren

Eine echte Herausforderung an die Teilnehmer, die beruflich alle nichts mit Holzverarbeitung zu tun haben.
Almut Eger, erfahrene Trainerin im Bereich des Notfall-, Krisen- und Business Continuity Managements und Spielleiterin, sieht exakt darin den größten Vorteil: „Am Beispiel des fiktiven Sägewerks üben die Verantwortlichen Abläufe und Führung, strukturierte Entscheidungsfindung und adäquates Reagieren in verschiedenen Krisenszenarios. Diese Simulation ist flexibel, man kann kundenspezifisch das Szenario auf gewisse Themen oder Abteilungen ausrichten. Hier ist ein nachvollziehbares Übungsumfeld mit einem bekannten Rohmaterial (nämlich Holz) gegeben, um ein herausforderndes und lehrreiches Training gestalten zu können. Es geht um die Methodik und das Funktionieren der Rollen an sich. Und es geht darum, die Personen im Ausfüllen ihrer Rollen zu stärken.“
Mehr noch: „Dank des Trainings in einer völlig fremden Umgebung – nämlich in einem Sägewerk – erhalten die Mitglieder des Einsatzteams die Möglichkeit, sich losgelöst von ihren üblichen Aufgaben vollständig in ihrer «methodischen Rolle» im Ereignismanagement zu bewegen. Aufgrund dieser Methodik können die Funktionsweise der Aufbau- und Ablauforganisation überprüft werden. Zudem erhält jeder Teilnehmer die Möglichkeit, seine eigenen Fähigkeiten zu testen und «fremde» Rollen auszuprobieren“, so die Expertin.

Führungfähigkeiten trainieren

Inzwischen haben die Teilnehmer ihren Part angenommen. „Es ist spannend, außerhalb der angestammten Rolle die Führungsfähigkeiten im Ereignismanagement zu trainieren. Hinzu kommt, dass alle hier sich hoch engagiert auf dem „dünnen Eis“ bewegen wollen“, sagt eine Seminarteilnehmerin begeistert. „Und dünn ist das Eis tatsächlich, denn Holz kann brennen, wegrollen, aufquellen, sogar schwimmen – es kann sich also in der Übung anders als erhofft verhalten.“

Zielgerichtete Unterstützung durch Notfall-Software

Doch die Teilnehmer trainieren nicht nur den Einsatz in einem Notfall- und Krisenstab und erhalten einen praxisnahen Einblick in die Stabsarbeit und nötigen Arbeitsschritte in einem Ereignis. Jörg Kretzschmar, Consultant, demonstriert anhand zahlreicher Beispiele und wertvoller Tipps, wie mittels des Einsatzes der speziell entwickelten Software  eine zielgerichtete Unterstützung via Notfallplänen und Verantwortlichkeiten aussehen kann. „Durch die strukturierte Aufnahme der Daten, aller Prozesse und Services eines Unternehmens erleichtert die damit zu erreichende Geschwindigkeit die Reaktion im Ernstfall.“

Deshalb sieht der Consultant in der Kooperation mit den Krisenstabstrainings-Experten eine ideale Win-Win-Situation für Kunden aus beiden Geschäftsfeldern: „Wir bauen diesen Schulungszweig 2014 aus und bieten insgesamt vier Krisenstabsschulungen an“, freut er sich auf die Zusammenarbeit.

 Aufgabe gemeistert: professioneller Umgang mit Unerwartetem

 Cornelius Herold, Trainer und u.a. Experte für Krisen- und Notfallmanagement, bringt das Ergebnis des Seminars auf den Punkt: „In dem technischen, berufsspezifischen Training mit der Softwarefür den Wiederanlauf nach einer Krise wendeten alle Teilnehmer die im Sägewerk erworbenen Kenntnisse in der Lageanalyse und der Einsatzführung dann auch in der angestammten fachlichen Rolle an. So konnten die Teilnehmer die Möglichkeiten effizienter Stabsarbeit zur Bewältigung einer dynamisch-komplexen Situation erkennen. Die Führungsarbeit und die effektive Zusammenarbeit des Krisenstabteams in heiklen Situationen konnte zielgerichtet trainiert werden. Die Teilnehmer sammelten Erfahrung in der Strukturierung und Durchführung von Stabsprozessen, unabhängig von fachlichen Aufgaben und Abläufen.“

Bewertung von Teilnehmern:

 „Es war eine Stunde lang Stress und Adrenalin pur.

Auch wenn wir das fiktive Unternehmen letztendlich „versenkt“ haben, war es für uns eine Übung, aus der wir extrem profitieren konnten. Wir haben sehr wichtige Erkenntnisse mitgenommen und ich freue mich auf die Anwendung. Das Seminar war den Tag Aufwand und seinen Preis wert. Uneingeschränkt empfehlenswert.“

  „Sehr gutes praxisbezogenes Seminar mit praktischen und wertvollen Inhalten.

Die ausgewogene Kombination von „theoretischer Einführung“ und „praktischer Übung“ waren interessant und kurzweilig. Auch die Möglichkeit, während des Trainings verschiedene Rollen auszuprobieren, war eine gute Erfahrung. Alles in allem kann ich sagen, dass der Tag nicht nur lehrreich war sondern es auch richtig Spaß gemacht hat.“

Die nächsten Seminare finden statt am 08.05.2014, 06.06.2014, 30.09.2014 und 27.11.2014

Die Termine für weitere Veranstaltungen dieses Krisenstabstrainings finden Sie im BCM-Kalender.
Dort finden Sie auch den Link zum Veranstalter und zur Buchung.

Weitere  Informationen erhalten Sie auf Anfrage gern per E-Mail oder Anruf an und bei den genannten Ansprechpartnern der CONTECHNET Ltd. | 4 Management 2 Security GmbH.

 

“Waking Shark II”: weltweit größte Simulationsübung findet am kommenden Dienstag in London statt

Unter dem Titel “Waking Shark II” findet am kommenden Dienstag, den 12. November in London eine der weltweit größten Krisenmanagementsimulationen dieser Art statt. Tausende Mitarbeiter von Finanzdienstleistern in London werden mit eine simulierten Cyber-Attacke auf kritische Börsen- und Banking-Systeme konfrontiert. Die Simulationsübung wird zentral durch ein Team aus Behörden- und Bankmitarbeitern sowie weiteren Spezialisten und Beratern koordiniert und gesteuert. Im Fokus der Simulationsübung steht der Zahlungsverkehr mit den Geldautomaten sowie Prozesse und Systeme für das Investment Banking. Vor zwei Jahren wurde bereits eine vergleichbare Übung in London durchgeführt. Dies ist bereits die siebte Übung der Finanzdienstleister in London in dieser Form.

Waking Shark II Inject

 

 

Mehr als 1.000 Banken in den USA üben eine Cyber-Attacke auf den Zahlungsverkehr

Im Rahmen einer zweitägigen Übung werden am 16. und 17. Oktober sowie am 23. und 24. Oktober 2013 über 1.000 Banken den Cyber-Angriff auf Zahlungsverkehrssysteme üben. Bereits in 2012 war eine vergleichbare Übung durchgeführt worden. Die Übung in den USA ist offen für alle Banken, die am Zahlungsverkehr teilnehmen. Die teilnehmenden Banken erhalten an den beiden Übungstagen morgens jeweils ein Szenario, das bis Mitternacht des gleichen Tages online per Fragebogen beantwortet werden muß. Für die Teilnehmer steht nach Abschluß der Übung ein anonymer Vergleich mit Peer-Daten zur Verfügung (Industrie, Lokation, Größe etc.). Die Teilnahme ist kostenfrei.

Quelle: BankInfoSecurity